Пакетний фільтр. Ефективний захист комп’ютерних мереж
Курсовой проект - Компьютеры, программирование
Другие курсовые по предмету Компьютеры, программирование
?стеми повинні бути запущені відповідні програми.
Існують три способи запуску програм, що реалізують мережні служби, у системі UNIX. Основна частина серверів автоматично запускається при завантаженні операційної системи під керуванням диспетчера рівнів виконання. Порядок запуску вказується в сценаріях, що зберігаються в каталозі /etc/rc.d. Другий спосіб запуск програм за допомогою демона inetd при надходженні запиту від клієнта-програми. Особливості виклику серверів описуються в конфігураційному файлі програми /etc/ inetd. conf. І, нарешті, мережні служби можуть безпосередньо запускатися за допомогою сценаріїв, керуючих конфігурацією системи. Як правило, подібні сервери не входять у стандартний комплект постачання Linux і інстилуються окремо.
6. Принципи роботи брандмауерів
Інформаційні системи корпорацій, урядових закладів і інших організацій постійно розвиваються в наступних напрямках.
Система централізованої обробки даних, що працює на базі мейнфрейма, до якого безпосередньо підключене деяке число терміналів.
Локальна мережа, що поєднує персональні компютери і термінали один з одним і мейнфреймом.
Обєднана мережа, що складається з декількох локальних мереж, звязаних один з одним персональних компютерів, серверів і, можливо, одного чи двох мейнфреймов.
Мережа масштабу підприємства, що складає з декількох, що знаходяться на досить великій відстані друг від друга обєднаних мереж, що звязуються між собою за допомогою відомчої глобальної мережі.
Звязок через Internet, при якій різні обєднані мережі виявляються підключеними до Internet і можуть бути також звязаними один з одним відомчою глобальною мережею.
Сьогодні звязок з Internet для більшості організацій уже є звичною справою. Для багатьох організацій інформація і послуги Internet життєво необхідні. Крім того, доступ до Internet потрібно багатьом індивідуальним користувачам, і якщо їхня локальна мережа не забезпечує такого доступу, вони самостійно використовують засоби вилученого доступу для підключення своїх персональних компютерів до Internet через постачальника послуг Internet (провайдера). Але, хоча доступ до Internet і дає організації очевидні переваги, вона в той же час відкриває ресурси внутрішньої мережі організації зовнішньому світу. Ясно, що це несе в собі визначену погрозу для організації. Для захисту від цієї погрози можна обладнати кожну робочу станцію і кожен сервер внутрішньої мережі надійними засобами захисту типу системи захисту від вторгнень, але такий підхід, мабуть, непрактичний. Розглянемо, наприклад, мережу із сотнями чи навіть тисячами окремих систем, на яких працюють самі різні версії UNIX, так ще і Windows 95„ Windows 98 і Windows NT. Якщо буде виявлена яка-небудь вада в системі захисту, прийдеться внести зміни в засоби захисту всіх систем, що потенційно можуть показатися вразливими. Альтернативою, що стає усе більш популярною, є використання брандмауера. Цей пристрій розміщається між внутрішньою мережею організації і Internet, забезпечуючи контрольований звязок і споруджуючи зовнішню стіну, чи границю. Метою створення такої границі є захист внутрішньої мережі від несанкціонованого проникнення ззовні через Internet і організація єдиного центра, у якому повинні застосовуватися засоби захисту і контролю. Брандмауер може являти собою як окремий компютер мережі, так і групу спеціально виділених компютерів, що здійснюють функції брандмауера мережі, взаємодіючи між собою.
У цьому розділі ми спочатку обговоримо загальні характеристики брандмауерів, а потім розглянемо брандмауерів найпоширеніших типів. Наприкінці роздягнула приводяться деякі типові конфігурації брандмауерів.
6.1 Характеристики брандмауерів
У [BELL94] приводиться наступний список основних задач, що стоять перед розроблювачами брандмауерів.
1. Весь потік даних, що направляються з внутрішньої мережі в зовнішній світ, які йдуть у зворотному напрямку, повинний проходити через брандмауера. Для цього фізично блокується будь-який доступ до локальної мережі в обхід брандмауера. Як буде показано нижче, ця задача має кілька різних конструктивних рішень.
2. З усього потоку даних, що надходять до брандмауера, пройти його можуть тільки дані, які пройшли аутентифікацію відповідно до локальної політики захисту. Як буде показано нижче, у брандмауерах реалізуються різні типи політик захисту.
3. Брандмауер сам по собі повинен бути недоступний для вторгнення ззовні. Це припускає наявність високонадійної системи з захищеною операційною системою.
У [SMIT97] перераховані чотири основних засоби, за допомогою яких брандмауери здійснюють контроль доступу і забезпечують реалізацію політик захисту відповідної обчислювальної системи. Споконвічно брандмауери здійснювали в основному керування серверами, але сьогодні на них покладені й інші задачі.
Керування серверами. Визначення типів служб Internet, до яких можна одержати доступ із внутрішньої мережі назовні і з зовнішнього оточення усередину. Брандмауер може фільтрувати потік даних на основі IP-адрес і номерів портів TCP. Він пропонує такий компонент, як прокси-сервер, через який може проходити кожен запит сервісу і який приймає рішення про те, пропустити даний запит чи ні. Брандмауер може містити і самі серверні компоненти, наприклад, Web-сервер чи поштову службу.
Керування напрямком руху. Визначення напрямку, у якому можуть ініціюватися і проходити через браудмауер запити до тих чи інших служб.
Керування користувачами. Представлення доступ